Wiresharkの表示フィルタ ~複数条件設定編~
エンジニアノート
前回の記事では、Wiresharkの保存フィルタの基本操作について解説しました。今回は、複数の条件を組み合わせたフィルタについて解説します。
実際にフィルタを使用する際は、単一の条件でなく複数の条件で設定することのほうが多いと思います。
フィルタ条件の論理結合
単一のフィルタ定義を論理結合することにより、複数の条件を設定できます。
使用可能な論理結合は、論理積(AND)、論理和(OR)、排他的論理和(XOR)、論理否定(NOT)です。
指定は、テキストではなく以下の表の()内にある論理演算子でも可能です。またテキストで指定する場合は、小文字で指定します。大文字だとエラーとなり、指定できません。
| 論理結合 | 指定方法 |
|---|---|
| AND結合 | and (&&) |
| OR結合 | or (||) |
| XOR結合 | xor (^^) |
| NOT結合 | not (!) |
条件を追加する方法
前回の記事でフィルタの設定方法は以下の3つあります、と紹介しました。
- 直接パラメータを入力
- 右クリックで関連したパラメータを指定
- Packet Detail画面でヘッダ情報からドラッグアンドドロップでパラメータを指定
この方法は、条件を追加する際も同様に使えます。
条件Aに条件Bを追加する場合は、以下のとおりです。
1.の場合、条件Aがフィルタボックスに入力されている状態で"半角スペース"+"論理演算(and|or|xor|not)"+半角スペース+"条件B"を入力します。
2.の場合は、条件Aを右クリックで追加後、条件Bを右クリックで指定する際、"Apply as Filter"画面で論理演算を選択します。
3.の場合も同様です。あらかじめ条件Aがボックスに入力されている場合、条件Bをあらたにドラッグアンドドロップした際、"Apply as Filter"画面がでます。
2.と3.の方法で追加条件を指定した場合の選択肢の意味は以下のとおりです。
| 選択肢 | 説明 |
|---|---|
| Selected | 現在の条件から追加の条件に置き換える |
| Not Selected | 現在の条件から追加の条件の論理否定に置き換える |
| ...and Selected | 現在の条件と追加の条件をAND結合する |
| ...or Selected | 現在の条件と追加の条件をOR結合する |
| ...and not Selected | 現在の条件と追加の条件の論理否定をAND結合する |
| ...or not Selected | 現在の条件と追加の条件の論理否定をOR結合する |
パラメータのチェック
フィルタボックスの背景色で入力パラメータのチェックが可能です。
緑:正しい
背景色が緑の場合は、パラメータは正しいことを示しています。
黄:意図通りではない
背景色が黄の場合は、パラメータは正しいが意図通りではないことを示しています。
多くの場合は、以下ように優先度が不明なときです。
この場合は、以下のように優先度を()で指定すると、正しく設定できます。
また、WiresharkのVer.2まで使用されていた"bootp"や"ssl"を指定した場合にもこの現象はおこります。現在のプロトコル名である"dhcp"や"tls"で指定すると、正しく設定できます。
(Ver.3でやっと修正されたのか、と思っている人は、私だけではないはず...。)
赤:正しくない
背景色が赤の場合は、パラメータは正しくないことを示しています。
今回のまとめ
今回は、複数の条件での表示フォルタの設定方法について説明しました。よく使う表現とその保存方法などを紹介する予定です。
関連記事
WiresharkTIPS関連
Wiresharkの表示フィルタ ~複数条件設定編~(本記事)